8 av 10 säkerhetsöverträdelser involverar lösenord. Därför är det viktigt att alla anställda använder säkra lösenord och följer bästa praxis. En god lösenordspolicy hjälper dig skapa en trygg lösenordshantering. I detta inlägg går vi igenom både för- och nackdelar med olika riktlinjer för säkra lösenord. Dessutom delar vi med oss av de 5 riktlinjer som vi tagit med i en lösenordspolicy. Du kan även ladda ner vår kostnadsfria mall så att du snabbt och enkelt kan skapa en lösenordspolicy som stärker din organisations säkerhet.
Behöver din organisation en lösenordspolicy?
De flesta av oss vet att starka lösenord är viktiga för att skydda våra olika konton. Men anställda har ofta olika åsikter om vad som är ett starkt lösenord.
En studie från Google visar att 66 % av alla återanvänder lösenord på olika konton och 3 av 4 tycker att det är frustrerande att hålla reda på sina lösenord. Så även om dina anställda vet vad ett starkt lösenord är, finns det en stor chans att de inte använder säkra lösenord själva.
För små företag kan dataintrång få stora och långvariga konsekvenser. I värsta fall kan ett dataintrång betyda början på slutet för din organisation. En undersökning från Verizon visar att 69 procent av konsumenter undviker företag som har drabbats av dataintrång. Med andra ord lönar det sig alltså att se till att alla anställda uppfyller minimikraven när det gäller lösenord.
Det är här en lösenordspolicy kommer in i bilden.
Vad är en lösenordspolicy?
En lösenordspolicy är en uppsättning riktlinjer för att skapa, lagra och använda starka lösenord på din arbetsplats. Att införa och låta dina anställda följa en lösenordspolicy är ett enkelt sätt att se till att alla håller samma standard.
Du kan skapa en fristående lösenordspolicy eller göra den till en del av företagets allmäna IT-riktlinjer för att undvika flera dokument.
Fördelar med en lösenordspolicy
Med tydliga riktlinjer för lösenord är det troligare att dina anställda använder säkra lösenord eftersom de vet vad som förväntas av dem. En bra lösenordspolicy kan därför bidra till att hålla din organisation säker, öka IT-säkerheten och hjälpa er efterleva GDPR genom att hålla personuppgifter skyddade.
Nackdelar med en lösenordspolicy
Även om en lösenordspolicy har många fördelar finns det ett par saker att tänka på så att policyn faktiskt bidrar till nytta. Att skapa fler rikltinjer gör det inte nödvändigtvis lättare för dina anställda att navigera sina dagliga uppgifter. Om din policy är för komplicerad eller om den innehåller för många regler finns det en risk att ingen kommer att använda den och att den istället samlar damm i en låda. Detta är också en av anledningarna till att du bör överväga att låta lösenordspolicyn bli en del av dina IT-riktlinjer.
Du kan alltså inte bara göra en policy och tro att allt är löst. Du måste överväga hur den kommer att tas emot av dina anställda.
Ladda ner vår gratis lösenordspolicy
Nu har vi pratat länge nog, låt oss gå in på hur du skapar en lösenordspolicy. Du kan börja genom att ladda ner vår mall, som är baserad på hur våra egna regler ser ut på CyberPilot. Mallen innehåller riktlinjer för säkra lösenord och hur de anställda säkrar sina konton och hanterar sina lösenord.
Låt oss titta närmare på de 5 punkter som vi har tagit med i vår policy.
5 principer för god lösenordshantering
Lösenordspolicyn ska uppmuntra anställda att skapa säkra och användbara lösenord. I vår lösenordspolicy har det varit viktigt att hålla reglerna enkla så att användarna kan följa dem, samtidigt som vi har använt Microsofts och IMYs rekammendationer som inspiration. Här är 5 principer eller riktlinjer som du bör överväga att ha med i din policy.
1. Dina lösenord måste innehålla minst 12 tecken
Hur långt är ett säkert lösenord? Alla lösenord som skapas av dina anställda ska ha minst 12 tecken. De ska helst inte innehålla ett enda ord från ordboken eller mycket vanliga fraser som ILoveYou. De ska heller inte innehålla namn på personer, produkter eller organisationer för att anses vara säkra lösenord.
Varför långa lösenord?
Längden på ett lösenord spelar stor roll för hur snabbt en hackare kan knäcka det. Ju längre ditt lösenord är, desto säkrare är dina konton.
Hive System Password Table of 2022 har förklarat detta i detalj, så vi kommer bara att ge ett kort exempel. Låt oss säga att ditt lösenord endast är 8 tecken långt och att du använder både stora och små bokstäver. Ditt lösenord skulle kunna hackas på 13 minuter. Om ditt lösenord i stället är 12 tecken långt med stora och små bokstäver skulle det ta 200 år att knäcka.
Tyvärr visar en undersökning att 80 % av alla amerikanska lösenord innehåller mindre än 12 tecken. Detta visar att även om det kan verka trivialt är det ändå viktigt att påpeka för dina anställda att långa lösenord är starka lösenord, och att säkra lösenord bör innehålla minimum 12 tecken.
2. Överväg att använda en lösenordshanterare
Studier visar att de flesta skriver ner sina lösenord för att lättare komma ihåg dem. Detta behöver inte nödvändigtvis vara ett stort problem eftersom de flesta hackare använder digitala metoder för att komma över lösenord. Men om vi vill följa den första regeln och kräva att våra anställda använder långa och unika lösenord för alla sina konton kan det bli många papperslappar med lösenord på... Det är alltså förståeligt att anställda som skriver ner sina lösenod återanvänder och skapar svaga lösenord som är lättare att komma ihåg.
Därför är det värt att fundera på hur du kan hålla lösenorden säkra. Lösenordshanterare kan vara ett alternativ. Med lösenordshanterare behöver de anställda bara komma ihåg ett mycket långt lösenord och lösenordshanteraren gör resten av arbetet.
En annan fördel med lösenordshanterare är att du eller den IT-säkerhetsansvarige kan få uppgifter om huruvida dina anställda faktiskt skapar starka lösenord och om de återanvänder dem.
Det är viktigt att lösenordshanterare hanteras av er som organisation och inte av varje enskild anställd.
Kan man lita på lösenordshanterare?Det finns naturligtvis en risk med lösenordshanterare, eftersom du delegerar ansvaret för att skydda dina lösenord till en annan organisation. Till exempel hackades lösenordshanteraren LastPass och en del kunder fick sina lösenord stulna i början av 2023. Risken med lösenordshanterare kan dock ofta minskas genom att använda tvåfaktorsautentisering.
Vilket för oss till punkt 3.
3. Använd alltid tvåfaktorsautentisering om det är möjligt
Om det är möjligt att aktivera tvåfaktorsautentisering på ett konto, gör det! Detta är kanske den viktigaste regeln av alla.
Tåfaktorsautentiseringen lägger till ett extra säkerhetslager eftersom du måste autentisera en inloggning med en extra kod eller behörighet, så även om en hackare skulle få tag på ett lösenord kan de INTE komma åt ditt konto.
Enligt Microsoft blockerar tvåfaktorn 99,9 % av alla attacker. Därför bör tvåfaktorsautentiseringså vara ett krav för alla anställda att använda. Tvåfaktorsautentisering kan enkelt tas i bruk genom att installera en app på en enhet som mobilen, denna används sedan för att verifiera ens olika konton.
Microsoft har till exempel en sådan app.
4. Håll din lösenordspolicy enkel
Vi har redan nämnt det, men det är viktigt att du inte lägger till för många regler i policyn.
Det ska vara okomplicerat för alla att skapa starka lösenord.
För att hålla det enkelt ska du hålla det kort. Använd ett tydligt och direkt språk som fokuserar på de viktigaste punkterna. Undvik att gå in på för mycket detaljer och se istället till att det bara står det som dina anställda behöver veta.
Ange också vem de kan ställa frågor till om det är något de vill veta mer om.
5. Undvik alltför många regler för lösenord eftersom det ökar komplexiteten.
Sist men inte minst bör du undvika att skapa alltför komplexa riktlinjer. Ofta tenderar vi att göra det mer komplicerat än vad som behövs. Regler som att lösenord måste innehålla både små och stora bokstäver, siffror och specialtecken. Eller att lösenord behövs byta ut varje månad kan göra det onödigt svårt för de anställda.
Den här typen av regler är säkert försvarbara ur ett tekniskt perspektiv, men vi måste betona att man bör vara försiktig med att skapa för många regler, eftersom allt tyder på att det kan sluta med att säkerheten försämras.
För att hålla det ytterst enkelt innehåller vår policy inte denna typ av regler. Istället fokuserar vi bara på tvåfaktorn och längd, eftersom dessa två saker är de absolut viktigaste när det gäller att försvara dina konton med starka lösenord.
Öka medvetenheten om lösenord
Utöver lösenordspolicyn är det viktigt att öka medvetenheten om säkra lösenord, eftersom medvetenhet ökar chansen att dina anställda gör regler till vanor i sitt dagliga liv.
För att göra detta på ett roligare sätt kan du till exempel göra dem uppmärksamma på några av de vanligaste lösenorden. Folk kan gissa vad de tror är vanligast förekommande och se om det finns några lösenord som de själva har. Eller så kan du hänga upp roliga affischer.
Din lösenordspolicy måste vara säker och användbar
Att känna till hur lösenordpolicyn skyddar din organisation och enskilda anställda kan hjälpa dig förklara för dina medarbetare varför de ska följa den. Då du introducerar policyn bör du dessutom vara tydlig med vem som ska följa den och hur den ska användas. Finns det t.ex. situationer där policyn inte kan tillämpas?
En lösenordspolicy är en säkerhetsåtgärd i sig, men om den genomförs effektivt kan den också användas som ett verktyg för att skapa en kultur där lösenord och andra IT-säkerhetsfrågor diskuteras.
